Fuites de données au CNRS, des fichiers du Projet « NectarCam » publiés par le groupe LAPSUS$

Le 27 décembre 2025, la communauté de la cybercriminalité a été secouée par une nouvelle publication sur le célèbre (et résilient) forum BreachForums. J’ai rapidement attiré mon attention sur ce post, publié par l’utilisateur breach3d, une figure connue agissant en tant que modérateur de la plateforme. Il y mettait en ligne ce qui semble être le premier volet d’une exfiltration massive ciblant les infrastructures de recherche françaises.

Bien que breach3d soit l’auteur du post, il n’est pas, à proprement parler, l’attaquant originel. Le leak est officiellement attribué à un acteur se revendiquant du groupe LAPSUS$ (ou de sa résurgence en 2025 sous le nom de Scattered LAPSUS$ Hunters), une entité déjà connue pour ses intrusions spectaculaires contre des géants comme Microsoft ou Nvidia. Cette distinction entre le « diffuseur » et « l’auteur » est, à mon sens, essentielle : elle suggère soit une collaboration, soit une revente de données au sein de l’écosystème souterrain.

L’anatomie d’un dump : Entre archive et production

Le fichier exfiltré, un dump SQL intitulé cta_NectarCamDemo, constitue une véritable radiographie d’un environnement de gestion de données scientifiques. En analysant les en-têtes, j’ai pu constater que l’extraction a été réalisée via l’interface phpMyAdmin v5.2.2, reposant sur un moteur MariaDB 10.11. Un point particulièrement notable : la date de génération du dump est le 20 décembre 2025, soit à peine une semaine avant sa publication.

Cette proximité temporelle contredit l’hypothèse d’un simple « vieux serveur oublié ». Certes, certaines données remontent à 2015, mais les versions logicielles employées démontrent que l’infrastructure était active, maintenue et connectée au moment de l’intrusion. Le recours à un serveur qualifié de « Demo » apparaît ici comme une erreur stratégique : il a visiblement servi de miroir involontaire à des données de production bien réelles.

NectarCam : Un trésor technologique exposé

Le projet ciblé n’est autre que la NectarCam, un instrument de pointe destiné aux télescopes de taille moyenne (MST) de l’observatoire international CTA (Cherenkov Telescope Array). Piloté par le CNRS et le CEA, ce projet vise l’observation des rayons gamma les plus énergétiques de l’univers. Il s’agit d’un dispositif extrêmement avancé, capable de filmer à près d’un milliard d’images par seconde.

Ce que révèle la fuite, c’est la structure même de cet instrument. Les tables AsembeledModule (sic) et AssembledCamera détaillent l’organisation interne de la caméra en 265 modules ou tiroirs (drawers). Plus préoccupant encore, la table calib_spe_fit_records contient plus de 8 000 enregistrements de calibration Single Photo-Electron (SPE). Ces données ne relèvent pas de simples tests : elles constituent un socle scientifique essentiel à l’interprétation des observations astrophysiques.

Le risque des adresses MAC et du « Shadow IT »

L’un des aspects les plus sensibles que j’ai relevés concerne la table backplane_list. Celle-ci dresse un inventaire précis des équipements réseau internes, incluant les adresses MAC des cartes de communication. Entre de mauvaises mains, ces identifiants uniques constituent de véritables leviers pour cartographier un réseau interne, identifier les constructeurs et préparer des attaques par mouvement latéral ou usurpation d’identité réseau.

L’existence même de ce dump sous l’intitulé « Demo » illustre parfaitement les dérives du Shadow IT dans le milieu académique. Pour des besoins de formation, de démonstration ou de présentation en conférence, des copies de bases de données réelles sont souvent déplacées vers des environnements moins sécurisés, échappant de fait au contrôle des Directions des Systèmes d’Information (DSI).

Une attaque toujours en cours ?

La proximité entre la date d’exportation (20 décembre) et la publication publique du leak laisse penser que la faille pourrait ne pas être totalement colmatée. Le fait que seule une « partie 1 » ait été diffusée correspond à une stratégie de pression bien connue : signifier que d’autres données, potentiellement plus sensibles (identifiants, emails, accès serveurs), pourraient suivre en l’absence de réaction.

Le CNRS et ses partenaires (IRAP, CEA-IRFU, LAPP) se retrouvent ainsi confrontés à un défi majeur : sécuriser un environnement de recherche fondé sur le partage de données, tout en faisant face à des groupes pour lesquels la compromission de telles infrastructures représente un capital symbolique et technique considérable sur des plateformes comme BreachForums. À ce stade, la vigilance doit s’imposer à l’ensemble de la communauté scientifique européenne.

Note méthodologique : les données analysées dans le cadre de cet article sont détruites après analyse et information des personnes concernées.